Как стать автором
Обновить

Комментарии 37

Можно использовать RDP как TV/RA/Ammy?
Т.е. внешний IP есть порт RDP проброшен.
Но нужно чтобы локальный юзер (на сервере RDP) видел что происходит (не отключало его сеанс) и мог вмешаться?
К сожалению, RDP данный функционал не поддерживает.

Про теневые сессии вы ничего не слышали, я так понимаю?

mstsc /?, параметр shadow. В зависимости от версии винды, может потребоваться по-другому подключаться, но в целом ищите информацию по rdp shadowing.

Можно воспользоваться «Удалённым Помощником» (Remote Assistance, для систем от XP до 10) или «Быстрой помощью» (Quick Assist, появилась в Win10, требуется учётка MS Live)
отличная статья… сначала мы говорим о том, что RDP вполне себе безопасен (и даже не надо заворачивать внутрь ВПНа) а потом говорим о том, что вообще твою RDP сессию вполне можно угнать причем несколькими способами. :)
Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM.
Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним.

Когда к вашему читателю придет проверка и попросит уточнить, как тут с соблюдением лицензирования дела обстоят, он может на вас сослаться? :/

Статья сугубо техническая и не призывает ни к каким незаконным действиям.
Мы предлагаем нашим клиентам только серверные версии ОС Windows согласно соглашению SPLA и тщательно следим за соблюдением лицензионных требований, в частности по поводу удаленного подключения.
Данный пункт статьи полезен для тех, кто хочет организовать подобный доступ для личных нужд на личном ПК с соблюдением норм права на свой страх и риск.
Читал трения по поводу rdpwrapper, ЕМНИП использовать его официально можно, т.к. не подменяются системные файлы windows. Плюс наше законодательство разрешает патчить софт в целях устранения ошибок либо улучшения, хотя тут нюансов конечно полно: чем например кряк или триалресет хуже вышеупомянутого rdpwrapper.

Нет тут никаких трений. https://www.microsoft.com/en-us/Useterms/Retail/Windows/10/UseTerms_Retail_Windows_10_Russian.htm, п. 2а — "право установить и запустить один экземпляр программного обеспечения на устройстве (лицензированное устройство) для одновременного использования одним лицом"; а в 2c(v) явно указано, чего нельзя делать (в частности, "предоставлять данное программное обеспечение для одновременного использования несколькими пользователями в сети", и т.п.).


Так что автор совершенно четко описывает использование с нарушением лиц. соглашения, причем даже не потрудившись предупредить об этом в статье.


наше законодательство разрешает патчить софт

В строго определенных целях, среди которых превращение рабочей станции в многопользовательский сервер отсутствует.

А если я, как одно физическое лицо, работаю в нескольких сессиях на одном удаленном компьютере (используя данную утилиту), это будет считаться нарушением лиц. соглашения?

Лиц. соглашение доступно вам ровно так же, как и мне. :) Мое личное мнение — формально это скорее всего попадает под п. 2с (iv) "пытаться обойти технические ограничения в программном обеспечении", но, если ОС реально используется одним лицом, на практике при аудите это не вызовет проблем.

github.com/stascorp/rdpwrap/issues/26
А что такое вообще одновременное использование одним лицом?
Если я на лицензионной 7ке запущу апач с сайтом для друзей, то это уже нарушение лицензии?
Рекомендации проброса 3389 на роутере — вообще за гранью.
Это один из излюбленных сервисов для атаки брутфорсом, не пробрасывайте стандартный порт никогда.

Я всегда использую стандартный порт + стойкий пароль, это плохо?

Если этот порт смотрит в мир без ограничений — да.
Если вы единственный пользователь, то еще полбеды.
Если это терминальный сервер с N юзеров, политикой смены паролей и блокировки учеток — то это совсем беда. Будете ловить и блокировки учеток из-за попыток подбора и пароли в стиле «Qwe123!», который прекрасно подходят под политику сложности, но неустойчивы к брутфорсу.
К сожалению — выставить 3389 в мир, а потом героически сражаться с последствиями — излюбленная игра многих. Идеальное решение — VPN. Если невозможно, то хотя-бы нестандартный порт.

Зависит от. В целом не очень хорошо даже в случае отсутствия (известных) уязвимостей и действительно стойком пароле, потому что никакой штатной защиты от брутфорса в винде нет, и вас будет достаточно легко за-ддосить при желании, заставив систему обрабатывать большой поток попыток входа. А вот если, например, настроена блокировка учеток при определенном количестве неверных попыток входа, или там шатдаун при переполнении журнала безопасности, то это вообще просто выстрел в ногу.

Понял, спасибо.
На своем MikroTike я наcтроил Port Knocking, после которого IP с которого я стучусь добавляется в white list на некоторое время и уже для этого IP работают все пробросы. Но даже в этом случае проброс через 3389 я не делаю, порт меняю на нестандартный и вам советую.

смена порта на нестандартный не спасает, очень активно ломятся и через нестандартный

К моему серверу постоянно так присасывались какие‐то боты, но не могли пройти аутентификацию. На сервере из‐за этого постоянно запускались дополнительные процессы csrss.exe и winlogon.exe, а потом завершались. И так каждый раз на нового бота. Это заметно тормозило сервер.
Выход нашёл через введение белого списка разрешённых IP‐адресов для соединения через политику IPSec.

хорошо, когда IP известны заранее...

Как вариант: на RDP‐сервер крутится бот, которому каким‐нибудь способом сообщают IP клиента, он вносит его в белый список IPSec — и к серверу можно подключиться.

ну да, portknocking

Чтобы заняться брутфорсом RDP нужно с атакуемой стороны иметь клиента с Windows и включенную проверкой подлинности на уровне сети, в противном случае RDP сервер принимающий соединения будет вас отмораживать еще на этапе этой проверки, забудьте про Windows XP и не живите в начале 2000-х. Проще эксплуатировать уязвимости, которые Microsoft потихоньку да прикрывает, например в начале мая была прикрыта уязвимости в CredSSP
ru_vds, Используемое вами изображение в начале статьи, является объектом авторского права владельцев продукта Wtware.
Будьте любезны проставить ссылку на авторский сайт или не использовать изображение вовсе.
Спасибо, поменяли картинку.
Как один из методов защиты использую смену в реестре дефолтного порта на другой.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Это безопасность через неясность.
Так себе решение.
А позволю себе подчеркнуть — как один из методов.
Естественно еще есть VPN, port knocking и так далее. Белый список IP.
Вопрос касательно угона RDP:
Например у меня сервак на нем стоит ESXi и подняты виртуалки с одной из них я рулю инфраструктурой. Это виндовая машина с белым IP Win srv 2016 yf ней включен RDP я к ней подключаюсь из дома. У меня обычный серый IP. Порт стандартный. Пароль 16 символов
Буквы, цифры, спец символы. Могут ли угнать сессию?
Для безопасного доступа как я понимаю нужен VPN. Подойдет ли для этой цели pfsense?
За одно и будет раздавать интернет на нужные VM?
Где почитать как все правильно приготовить?
pfsense прекрасно подойдет, конфигурируете его как шлюз для остальных машин, настраиваете vpn по желанию (IPsec,L2TP,OpenVPN) все довольно наглядно, через веб-интерфейс
Для обеспечения безопасности RDP протокола (или любого другого, который торчит наружу в винде) можно нужно пользоваться IPBAN Это подобие fail2ban для винды.
Как включить SSL/TLS написали, а как установить сертификат? И можно ли использовать клиентский сертификат?
Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий